«Мы живём в доме со стеклянными стенами…»

«Мы живём в доме со стеклянными стенами…»

Что такое информационная безопасность крупнейшего рекрутингового портала? В чём ее специфика и универсальность? Легко ли набрать сотрудников, имея в распоряжении такую базу соискателей? Об этом и многом другом обозреватель BIS Jоurnal Марина Бродская беседует с CSO- и GR-директором HeadHunter Виталием Терентьевым.

Hh.ru — крупнейшая платформа онлайн-рекрутинга в России, клиентами которой являются свыше 523 тыс. компаний. Обширная база компании содержит 66 млн резюме, а среднее дневное количество вакансий в течение 2023 г. составило свыше 1,18 млн ежемесячно. По данным SimilarWeb, hh.ru занимает третье место в мире по популярности среди порталов по поиску работы и сотрудников.

ЧЕТЫРЕ «ШАПОЧКИ»

— Виталий, на конференциях вас часто представляют как директора по GR HeadHunter, хотя говорите вы, как правило, об информационной безопасности. Кто вы на самом деле: какие функции выполняете, какую должность занимаете?

— У меня четыре «шапочки» в компании. Первая — это управляющий партнёр HeadHunter по региону Центральная Азия и Закавказье. Всё, что там есть у компании, я создал и этим управляю. Вторая «шапочка» — директор по безопасности, CSO. Третья и четвёртая — это GR-директор и директор департамента специальных проектов.

— «Шапочку» по безопасности получали до 250-го Указа?

— До, конечно. До меня службы безопасности в компании не было, создавал с нуля.

ПРО ЗАМА ПО БЕЗОПАСНОСТИ

— Сейчас компания, подпадающая под действие 250-го Указа, должна иметь зама по безопасности. Как думаете, хватит ли ему знаний, которые ему дадут на рекомендованных курсах?

— 512-часовая программа переподготовки придумана ФСТЭК и ФСБ и решает достаточно узкие задачи. Она не столько даёт знания, сколько открывает возможности. Понятно, что защищать объект КИИ вы с такими знаниями не сможете, но они дают общие, достаточно глубокие представления о предмете и, конечно, лицензию.

— Многие идут учиться для галочки...

— Процесс нужно организовывать. Каждый действует в силу своих способностей и понимания ситуации. Кто-то всё сразу делает по уму, кто-то — не сразу...

ПРО ОБРАЗОВАНИЕ, ОПЫТ И УСТАНОВКИ

— И всё же… нужна реальная подготовка: опыт, ИТ-образование…

— Айтишное образование — это замечательно и всегда плюс, но в безопасности работает довольно много людей, не имея такого образования. Главное — опыт и отношение к делу. Без этого стать безопасником, как, например, и управленцем, невозможно.

Я стал директором по безопасности одного из крупнейших банков в Центральной Азии, ещё будучи студентом, в 21 год. Диплом защищал по системе, которую сам же и создавал. С тех пор опыт только прибавлялся, причём у меня не было ни одного проваленного проекта и, надеюсь, не будет.

— Не преувеличиваете?

— Нет. Это установка: ошибиться можно, проиграть — нельзя. Если начинаете свою деятельность с такой базовой позиции, то и опыт будет соответствующий. А если начинать с отношением «да мне всё равно, где и какой опыт получать», вас всегда будут взламывать.

— А есть ещё распространённая установка «К нам не придут, кому мы нужны? — мы маленькие, где-то в стороне…»

— Вот в это не верю! Если такая установка есть, значит, безопасник не умеет коммуницировать с руководством компании, не понимает сути бизнеса, который защищает, и такому безопаснику в профессии делать нечего. Это, как вы понимаете, я про уровень CISO как минимум.

ПРО ДЕПАРТАМЕНТ ИБ

— Вы сказали, что создали службу ИБ HeadHunter с нуля. Когда это произошло?

— Я работаю в компании 18 лет, а департамент ИБ создал семь лет назад. Начинал один, потом набрал отдел. Нашу компанию сделали талантливые и преданные делу люди, и её безопасность тоже. Они очень разные. Мы не всегда находим общий язык, но то, что мои коллеги — крутые, великолепные безопасники, — это безусловно. Счет 0:0 — благодаря им.

— Текучка кадров у вас большая?

— Не часто, но иногда уходят. Был кейс, когда ушла целая команда — но что приятно, не в другую компанию или к конкурентам, а в свой частный бизнес. А когда уходит родная команда, это трудно, и это очень сложносочинённый процесс.

У меня как управленца, не скрою, случались ошибки, но на компании, на её защищённости это никогда не отражалось. Иначе я занимался бы чем-то другим.

— Как вы решаете проблему кадрового голода?

— Как и все вокруг — с трудом. Какая разница, сидишь ты сам на большой базе соискателей или где-то её покупаешь. Мы в одинаковых условиях со своими клиентами: квалифицированных кадров не хватает всем! Более того, у меня завышенные требования к людям, поэтому срок закрытия позиции очень длинный. И это моя боль.

Сейчас у нас работают человек 15, открыто много вакансий. Нужны «зубастые волки» — джуниоров мы давно набрали…

— Насколько то, что реализовано, отличается от первоначального замысла?

— Не отличается. У меня хорошее стратегическое планирование. Всё, что задумывалось семь лет назад, было реализовано и продолжает реализовываться. Осталось ещё года на два.

— А как с импортозамещением? Не застало вас врасплох?

— Выбор технологических решений — по большей части вкусовщина. Могу сказать, что я с самого начала старался использовать продукты и решения, которые каким-то образом имеют отношение к России. Чему сегодня очень рад, поскольку не имею головной боли на эту тему.

— А как с бюджетом?

— Бюджет департамента ИБ не роскошный, как у многих коллег с рынка... Получаем необходимое под конкретные задачи. Иногда хорошо, иногда с задержкой, а в целом — грех жаловаться. Скажем так: уже давно компания не страдает недостатком финансирования вопросов ИБ.

— Были ли серьёзные инциденты?

— Не было. Нас пытались «ломать», пытаются и будут продолжать. Но, повторюсь, счёт пока 0:0. Благодаря людям, которые здесь работают.

— Вы вошли в Регистр организаторов распространения информации. Что-то изменилось?

— Ничего не изменилось. Есть нормативные требования, которые любая компания, работающая с персональными данными, обязана исполнять. Система построена в соответствии с ними, нас фактически подключили с готовой инфраструктурой исполнения этой практики. Пришлось сделать минимум телодвижений, чтобы подключиться правильно.

— HeadHunter представлен в семи странах. Насколько сложно соблюдать законодательства?

— Сложности возникают, бывает… Но ядро защиты базового законодательства во всех странах примерно одинаковое: «не воруй, не укради, соблюдай правила по персональным данным…» Поэтому понятно, что делать. Есть, конечно, отличия, исключения, разные трактовки… Но если ты в них разбираешься, не составляет труда со всем этим управиться. А по сути различий в законодательствах наших стран в отношении ИБ практически нет.

ПРОВЕРКА КЛИЕНТОВ

— Проверяют ли HeadHunter и другие рекрутинговые платформы работодателей на благонадёжность?

— Обязательно, но каждая по-своему. По-разному настроены антифрод, система, контролирующая логистику… Некоторые, например, пускают к себе пользователей, которых мы не принимаем. Потому что для них это риск невысокий, а для нас — высокий.

— То есть объявления о наборе дропперов вы отсекаете, а другие нет?

— Дропперов набирают везде, от этого непросто избавиться. Как правило, такие вакансии маскируют под курьеров, а потом кандидата выводят на персональный разговор... Мы знаем, как с этим бороться, но это не только вопрос ИБ. Будет закон — будем решать.

О ПРОБЛЕМЕ КАДРОВ

— Тема кадрового голода обсуждается на всех конференциях по ИБ. Но на портале HeadHunter мы видим огромное количество резюме безопасников…

— Сейчас на одну вакансию — 0,3 резюме. Дефицит в сфере ИБ зашкаливающий, потому что настоящих специалистов действительно мало, а со временем станет ещё меньше, так как требования к уровню компетентности стремительно повышаются. Плюс мелкодисперсный рынок и неразбериха с неймингом. У одного руководителя должность называется CISO, у другого — директор по безопасности, у третьего — ещё как-то... Что уж говорить про низшие должности.

— С учётом проблем в нейминге, как вы получаете данные по дефициту кадров в ИБ?

— У нас есть целый исследовательский центр, который этим занимается, применяет ИИ, который анализирует в первую очередь тексты, а потом уже название вакансий. И мы точно знаем, что дефицит будет увеличиваться: проектов, которые нужно защищать, становится больше, соответственно, безопасников всё меньше. Скоро за них начнётся настоящая битва, и зарплаты в этой области должны подниматься.

— Может, ИИ поможет?

— К сожалению, искусственным интеллектом безопасников не заменить. Это работа творческая. Люди создают новое, каждая система защиты по-своему уникальна — под конкретные задачи.

Поэтому с людьми всё грустно. И вряд ли будет лучше: у нас не так много учебных заведений и крутых специалистов, которые готовы учить, передавать знания из рук в руки.

Айтишники могут съездить в какой-нибудь ИТ-кэмп для передачи опыта, а вот опытные безопасники не готовы делиться: зачем растить конкурентов, снижать свою стоимость на рынке и т. д. Накладываются и искажения психики, и другие специфические моменты.

— В отличие от отрасли ИБ, где с людьми всё плохо, вузы говорят, что у них с подготовкой кадров всё хорошо, они проходят аттестации и сертификации, высоко оцениваются учебно-методическим объединением...

— У вузов свои задачи, своя ситуация, они будут продолжать упираться и не прислушиваться к бизнесу. Это давно известно, и обсуждать это бессмысленно.

Чтобы что-то изменить, нужно делать серьёзные программные вещи. Например, направлять преподавателей ИБ из вузов в крупные ИТ-компании — на трёхмесячную аттестацию. Не получил аттестата — не имеешь права преподавать.

Или идти по пути «Яндекса» и Сбера. Они открывают свои университеты, засылают людей преподавать в вузы. Понятно, что они таким образом «пылесосят» рынок и забирают к себе лучших. Но в процессе они обучают довольно много молодых людей, которые выходят на рынок, имея актуальные знания.

А компании по безопасности учат кого-то безопасности? Что-то не видно. Почему?

НЕ ПРОДАВАТЬ СТРАХ

— Как эту позицию сдвинуть с места?

— Если примут новый закон об оборотных штрафах, привлекут к ответственности две-три компании, многие забеспокоятся. Потому что в бизнесе, в безопасности, к величайшему сожалению, работает прецедентное право. И пока нет прецедентов, никто не шевелится.

Другая проблема — большинство CISO/CSO не умеют общаться с руководством, поэтому не включены в стратегию компании, в совет директоров, в информационные потоки… Живут как бы отдельно в своём периметре. Пока так будет, бизнес не зашевелится. И это проблема самих безопасников, им ситуация выгодна из-за невысокой конкуренции или нехватки компетентности. Единицы CISO могут поговорить с бизнесом на серьёзном уровне и не продавать страх. И тогда безопасность вшивается в процесс, хеджирует риски, предиктивно до момента их появления, чтобы бизнес чувствовал себя комфортно. Строить систему безопасности надо до момента постройки бизнеса, это дешевле.

— К этому уже многие приходят…

— Только в крупных компаниях, и то с учётом результатов, которые мы имеем. Сколько за последние три-четыре года утечек из крупных компаний произошло? Много.

— Может, штрафы маленькие?

— Нет, просто бизнесу всё равно. Можно жить как живётся. Хотя я не совсем согласен, что нужно обязательно вводить оборотные штрафы. Идея, может, и неплоха — внедряет ответственность. Но штрафы с учётом несовершенства закона и его разностороннего трактования не будут работать так, как хотелось бы, с ходу. Бизнес зашевелится, но только из-под палки.

ПРО ОБОРОТНЫЕ ШТРАФЫ

— Законопроект об оборотных штрафах вызвал бурные дискуссии…

— Законопроект неплохой. Я много спорил и с коллегами на открытых мероприятиях, и с регуляторами… Идея хорошая — реализация не самая лучшая.

Представьте, как в суде будете доказывать виновность или невиновность, когда большинство судей не знают, что такое IP-адрес? Им принесут великолепное, исчерпывающее расследование, сделанное, например, компанией Positive Technologies, а они его не примут во внимание, потому что не могут понять терминологию. И что дальше?

— Законопроект потребует после его принятия наращивать нормативную базу…

— Правильно, но об этом почему-то не думают. Я как GR взаимодействую с законодателями, меня слушают. Другой вопрос, как слушают? Расклад-то непростой: есть позиция государства, есть экспертная позиция. Но, кроме этого, многим сложившаяся ситуация выгодна. Например, компаниям по безопасности, получающим дополнительное финансирование. И их GR лоббирует третью точку зрения.

С точки зрения эксперта я бы этот закон доработал. Довёл до кондиции, чтобы он работал эффективно, чтобы компаниям стало наконец понятно, куда и зачем вкладывать средства.

— В рамках подготовки ко второму чтению идёт лоббирование снижения размеров штрафов, если компания приняла меры…

— Вас могут пощадить, только если вы тратите 0,01% от вашей выручки на безопасность. Большинство российских компаний этому показателю не соответствуют, они не в состоянии выполнить это требование. Тратится радикально меньше. Это первый момент. А второй — надо пройти аудит у регулятора на соответствие безопасности. У нас большинство компаний аудиты не проходят.

— То есть давить только штрафами и страхом?

— К сожалению, принято такое решение. Мне, повторюсь, идея нравится, а вот форма реализации — нет. Я не считаю, что штрафами мы добьёмся кратного увеличения безопасности. С другой стороны, понимаю, что, когда тебя не слышат, возможно, это один из способов добиться, чтобы тебя услышали. Плюс уголовная ответственность, но она не во всех разрезах возникает.

О ЧЕЛОВЕЧЕСКОМ ФАКТОРЕ

— Эксперты «Лаборатории Касперского» заявили, что после принятия закона ждут сообщений о неизвестных нам утечках по известным им инцидентам. Вопрос, когда всплывут сами данные?

— У любой компании есть такое состояние — «ожидания всплытия». Защитить бизнес полностью физически невозможно, даже если вы соберёте топовую команду безопасников. Потому что всегда остаётся человеческий фактор и пресловутая социальная инженерия. Дырку в человеческой голове никаким скотчем не заклеишь, никаким файрволом не закроешь. Никакой SOC не поможет, если в голове человека «дырявый» взгляд на безопасность, которую он считает некой мелкой сервисной функцией и не понимает, что сейчас она — краеугольный камень внутри бизнес-процесса компании. Поймёт — тогда в компании и будет порядок.

ПРО ТЁМНУЮ СТОРОНУ

— Но реальные «всплытия» утечек будут?

— Конечно, будут. Когда появилась тема с законом, ребята с «тёмной стороны», назовём их так, свою добычу придержали и пока не афишируют — потом будет веселее шантажировать компании. С государства «плохиши» ничего не получат, а с компаний в новой ситуации можно будет получить очень много. Не забывайте, что, кроме штрафа, есть репутационные риски и многое другое, из-за чего компании могут пострадать. И с этим ничего не сделаешь.

О РЕПУТАЦИОННЫХ РИСКАХ

— Так ли у нас важны репутационные риски? Ну, была утечка и была...

— Это только кажется. Любой бизнес живёт во времени, и после серьёзной утечки, в которую попали ваши данные, вы эту компанию точно не забудете. Будете реже иметь с ней дело, скажете знакомым быть с ней аккуратнее. В результате организация несёт затраты на дополнительное продвижение продуктов, перестройку службы поддержки — из-за снижения доверия… Масса влияний, которые выливаются в деньги. Другой вопрос, что затраты не все считают. Но каждый выбирает свой путь.

ОБ ОБЫВАТЕЛЯХ

— Однако большинство обывателей не знает об утечках. Люди просто удивляются, что им позвонил очередной мошенник, который в курсе их проблем...

— Большинство людей будут удивляться и дальше. Мы живём в доме со стеклянными стенами, и об этом нельзя забывать. Всё, что хотя бы один раз попало в интернет, рано или поздно будет использовано против личности. Это вопрос времени. Причём неважно, госсистема это или нет, всё — достояние общественности. И оно не нормировано, не регламентировано и никак не контролируемо. Даже безопасники это не всегда понимают, что вы от обывателей хотите?

Беседовала Марина Бродская